Red Hat Training

A Red Hat training course is available for Red Hat Directory Server

9.7.5. ルート DN(Directory Manager)への ACI の適用

通常、アクセス制御ルールは Directory Manager ユーザーには適用されません。Directory Manager は、通常のユーザーデータベースではなく、dse.ldif ファイルに定義され、ACI ターゲットにはそのユーザーは含まれません。
また、メンテナンスパースペクティブにも意味があります。Directory Manager には、メンテナンスタスクを実行することができ、インシデントへの対応に高レベルなアクセスが必要です。
ただし、Directory Manager ユーザーの電源があることから、あるレベルのアクセス制御で、非承認のアクセスや攻撃が root ユーザーとして実行されないようにすることが推奨されます。
rootDN アクセス制御プラグインは、Directory Manager ユーザー固有の特定のアクセス制御ルールを設定します。
  • 8 a.m. から 5 p.m.までのような時間的な範囲での時間ベースのアクセス制御(0800 - 1700)。
  • 曜日のアクセス制御であるため、アクセスは明示的に定義された日数でのみ許可されます。
  • 指定した IP アドレス、ドメイン、またはサブネットのみが明示的に許可または拒否される IP アドレスルール
  • 指定のホスト名、ドメイン名、またはサブドメインのみが明示的に許可または拒否されるホストのアクセスルール
他のアクセス制御ルールと同様、deny ルールは allow ルールよりも優先されます。
重要
Directory Manager が常に適切なレベルのアクセスを許可されていることを確認してください。Directory Manager は、オフタイム (ユーザーの負荷が少ない時) や障害対応のためにメンテナンス作業を行う必要があります。その場合、時間や曜日ベースのアクセス制御ルールを厳しく設定すると、Directory Manager がディレクトリーを適切に管理できなくなる可能性があります。
ルート DN アクセス制御ルールはデフォルトで無効になっています。rootDN アクセス制御プラグインを有効にし、次に適切なアクセス制御ルールを設定できます。
注記
Directory Manager には 1 つのアクセス制御ルールがあり、プラグインエントリーには、ディレクトリー全体のすべてのアクセスに適用されます。